|
Титла: Помощ за защита Публикувано от: boyan96 в Sep 01, 2011, 13:42 Здравейте на всички :) :) :) От доста време се мъча да реша един въпрос и видях че с windows няма да стане и реших да видя как стоят тук нещата та така ето и двата въпроса
1.Как мога да се защитя от udp flood 2.Как мога да видя на определен порт какви връзки има и как да блокирам айпи на 10000% тоест това айпи каквато и връзка да иска с мен тя да се reject или drop Титла: Re: Помощ за защита Публикувано от: n00b в Sep 01, 2011, 14:10 1. Не можеш. Дискутирано е многократно тук.
2. netstat или по-добре протоколен анализатор (sniffer). А блокиране - iptables. Титла: Re: Помощ за защита Публикувано от: boyan96 в Sep 01, 2011, 14:13 добре а блокирването не го блокира напълно като напиша iptables -A -s ip-to -j REJECT ИЛИ DROP
Титла: Re: Помощ за защита Публикувано от: laskov в Sep 01, 2011, 14:47 2.Как мога да видя на определен порт какви връзки има и как да блокирам айпи на 10000% тоест това айпи каквато и връзка да иска с мен тя да се reject или dropОбаждаш се на твоя доставчик с молба да го направи. Титла: Re: Помощ за защита Публикувано от: n00b в Sep 01, 2011, 15:15 добре а блокирването не го блокира напълно като напиша iptables -A -s ip-to -j REJECT ИЛИ DROP Очевидно самите принципи не са ти ясни! Какво блокира горепосочената команда? Блокира обработката на посочените пакети от горното IP. Но самите пакети циркулират по преносната мрежа, мрежовата карта ги получава и обработва и вече на малко по-горен слой се изтриват от опашката. Преди време дадох пример с тръба и пак ще го дам. Представи си че си свързан с една тръба към доставчика ти. По нея има налягане 10 атмосфери (примерно). Обаче доставчика ти нещо се счупи и започне да ти пуска 100 атмосфери. Понеже това е много ти прилагаш клапан който пуска при теб пак на 10 атмосфери и при теб всичко е наред на пръв поглед. ОБАЧЕ това не променя факта че в самата система флуида си остава 100 атмосфери. Същото е и с udp flood - ти казваш "ей сега ще туря един iptables и ще ме защити". Да, на пръв поглед, но комуникационния ти канал ще остане запушен от глупави пакети. Единственното което можеш да направиш е да се обадиш на администратора на доставчика ти и той да реши проблема при него и да се обади на администратора на др. мрежа да се премахне източника на flood. Да правено е, прави се и ще се прави - но нали се сещаш, че ако имаш нет за 10 лв. никой няма да те погледне насериозно защото най-малкото разходите по горепосочената операция ще надхвърлят горните 10 лв. И общо взето пишман-хакера ще му писне след час-два и ще спре атаката. Ако някой си мисли че под Windows няма защити от UDP жестоко се лъже. Подобни защити има под почти всички OS-и, но всички те са временни защото не премахват самия проблем, а го замазват (вдигат килима и намитат мизериите отдолу - така килима е чист, ама под него...). Горещо моля администраторите да направят някаква Q&A секция защото на този въпрос вече отговарям 2-3 пъти. Титла: Re: Помощ за защита Публикувано от: tovaimesushtestvuva в Sep 01, 2011, 15:22 Я се пробвай с това и имай предвид, че е само примерно !
Код: /sbin/iptables -N udp-flood Титла: Re: Помощ за защита Публикувано от: petar258 в Sep 01, 2011, 20:24 може би това може да спре флуда:
#ip route add blackhole 192.168.32.128 адреса го сменяш с адреса на атакуващия Има закъснение от момента на задаване до момента на влизане в действие, при дебиан беше към 15 минути, това явно е твърдо зададено в кернела. И го пробвах само в локалната мрежа. Вероятно това трябва да се зададе на първото мрежово устройство което е свързано директно с кабела от доставчика. При мен в рутера нямаше ефект и ако и при други е така - трябва доставчика да влиза директно в компютъра на който е сървъра. И трябва да установиш истинския IP адрес на флудъра, защото ако подава заявки от фалшиви адреси това няма да ти помогне. |